Владелец SpyEye/Zeus-трекеров обнаружил р2р направленность новой версии Zeus

Zeus получил обновление, оснащающее его пиринговой функциональностью. С P2P-возможностями закрытие C&C серверов становится очень сложной задачей, а сам троян получает дополнительную степень гибкости для скрытия от трекеров. Роман Хасси, создатель Abuse.ch и SpyEye-трекера, говорит, что обнаруженная им новая версия трояна Zeus представляет собой значительный шаг вперед в сравнении с прошлыми версиями.

Около года назад авторы Zeus’о видных троянов уже сделали попытку в сторону отхода от единого C&C-сервера и перехода к более сложной многодоменной системе. Система Licat to Zeus, обнаруженная антивирусной компанией Trend Micro, использовала специальный алгоритм для генерации случайных доменов, работающий по аналогии с системой червя Conficker. Таким образом, распространение шло со случайных доменов.

Роман Хасси говорит, что несколько недель назад он заметил новый алгоритм работы командных центров Licat. Поместив последний полученный вариант червя Zeus в песочницу, эксперт заметил наличие странного UDP-трафика. Дальнейший анализ показал, что новый вариант Zeus имел несколько заранее встроенных IP-адресов, отвечавших инфицированным системам. Данные системы по цепочке ботов рассылали обновленные копии Zeus ранее зараженным системам и таким же образом передавали данные. Таким образом, отследить конечного получателя можно было лишь проследив всю цепочку коммуникаций, которая может насчитывать сотни тысяч компьютеров.

Появилась информация, что данный вариант Zeus мог быть создан посторонними кодерами под заказ, эта версия уже не имеет отношения к разработчикам оригинального кода Зевса и прошлому автору. Также владелец Abuse.ch отмечает, что пиринговая версия Zeus уже разошлась большими масштабами — за сутки он обнаружил более 100 000 IP-адресов, с которыми взаимодействовал троян. Большая часть зараженных компьютеров расположена в США, Италии и Индии.